Threat Report da Sophos aponta as principais tendências para 2021.

A Sophos publicou o Relatório de Ameaças 2021, que mostra como o ransomware e outras ameaças emergentes, do nível avançado ao básico, moldarão o cenário de ameaças e a segurança de TI em 2021.

Escrito por investigadores de segurança da SophosLabs, profissionais de ameaças da Sophos, equipas de resposta rápida e especialistas em segurança em cloud e IA, o manuscrito traz-nos uma perspectiva tridimensional sobre as ameaças e tendências de segurança, desde o seu início até o impacto no mundo real.

A distância entre os operadores de ransomware com diferentes habilidades e recursos aumentará

De acordo com o relatório, as famílias de ransomware continuarão a refinar e mudar as suas táticas, técnicas e procedimentos (TTPs) para se tornarem mais evasivas, visando, cada vez mais, organizações com maiores demandas, multimilionárias, e exigindo o resgate pelos dados exfiltrados e depois danificados pelos criminosos.

Em seguida pode ser observado como ao longo dos anos este tipo de ataques evoluiu.

Destacar o ano 2019, onde ficou marcada a fase da exfiltração dos dados antes das eles serem danificados na infraestrutura pelo ataque. Com esta recente tática os criminosos lançam o pânico e solicitam resgates milionário para conterem os dados exfiltrados e para que os mesmos não sejam publicados na dark-web. Um desses cenário acabou por acontecer também em Portugal, com a marca EDP. A empresa viu os seus dados serem comprometidos pelos autores do RagnarLocker, e os seus dados foram publicados no blog do grupo criminoso na dark-web.

Duas das famílias de ransomware mais ativas durante 2020 foram o Ryuk e RagnarLocker. Na outra extremidade do espectro, a Sophos antecipa um aumento no número de criminosos de nível básico, que procuram ransomware as a service (RaaS) como o Dharma, que lhes permite atingir grandes volumes de vítimas sem grande esforço técnico.

 

Como já referênciado no incidente relativo à EDP em Portugal, outra tendência é o ransomware como extorsão. Juntando ao danificar da informação, os criminosos roubam e ameaçam publicar informações sigilosas ou confidenciais, caso as suas exigências não sejam atendidas. Em 2020, os ransomwares Maze, RagnarLocker, Netwalker, REvil e outros usaram essa nova abordagem.

O modelo de negócios do ransomware é dinâmico e complexo. Durante 2020, vimos uma tendência clara para que os criminosos se diferenciassem em termos de competências e alvos. No entanto, também vimos famílias de ransomware a utilizar as melhores ferramentas e TTPs, tornado-o uma arma letal no horizonte de segurança.

 

Os crimisos abusarão cada vez mais de ferramentas legítimas (LOLbins), aplicações bem conhecidas e destinos de rede comuns para escapar das medidas de deteção e segurança para impedir a sua análise e atribuição

O abuso de ferramentas legítimas (LOLbins) permite que os cibercriminosos fiquem sob o radar enquanto se movem pela rede até que estejam prontos para lançar a parte principal do ataque, como o ransomware.

Algumas dessas técnicas têm sido observadas em malwares da família trojan. Uma das últimas ocorrências foi vista no URSA trojan, que utiliza software legítimo para exfiltrar detalhes dos browsers incluindo palavras-passe, evitando, assim, a sua deteção por parte dos antivírus e endpoint-protection solutions.

Em 2020, a Sophos relatou sobre a ampla gama de ferramentas de ataque padrão usadas por grupos criminosos.

Outras tendências analisadas no Relatório de Ameaças Sophos 2021 são:

• Ataques a servidores — os criminosos têm como alvo os servidores que executam tanto Windows quanto  Linux e alavancam essas plataformas para atacar organizações internamente ;

• O impacto da pandemia do COVID-19, como por exemplo os desafios de trabalhar em casa e utilizar redes pessoais protegidas por níveis amplamente variados de segurança;

• A Cloud suportou com sucesso o peso de muitas das necessidades corporativas de ambientes seguros, mas enfrenta desafios diferentes daqueles de uma rede corporativa tradicional;

• Serviços comuns como redes privadas virtuais (VPN) e também os servidores de acesso remoto ao computador (RDP), continuam a ser o foco de ataques. Os criminosos também usam RDP para se mover dentro de redes comprometidas;

• Aplicações tradicionalmente sinalizadas como “potencialmente indesejados” porque entregavam uma infinidade de anúncios, mas apetrechados com táticas que são cada vez mais indistinguíveis de malware;

• O surpreendente reaparecimento de um bug antigo, o VelvetSweatshop – um recurso de password padrão para versões anteriores do Microsoft Excel – usado para ocultar macros ou outro conteúdo malicioso em documentos e evitar a detecção avançada de ameaças;

 A necessidade de aplicar abordagens da epidemiologia para quantificar ameaças invisíveis, não detectadas e desconhecidas, a fim de melhor preencher as lacunas na detecção, avaliar riscos e definir prioridades.

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *